计算机网络.docx
- 文档编号:9224685
- 上传时间:2023-02-03
- 格式:DOCX
- 页数:37
- 大小:56.16KB
计算机网络.docx
《计算机网络.docx》由会员分享,可在线阅读,更多相关《计算机网络.docx(37页珍藏版)》请在冰豆网上搜索。
计算机网络
局域网理论上的小常识(组网必备)
常见故障及解决:
目前的局域网基本上都采用以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。
因此,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,这就是以太网所固有的安全隐患。
事实上,Internet上许多免费的黑客工具,如SATAN、ISS、NETCAT等等,都把以太网侦听作为其最基本的手段。
当前,局域网安全的解决办法有以下几种:
1.网络分段
网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。
其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,网络分段可分为物理分段和逻辑分段两种方式。
目前,海关的局域网大多采用以交换机为中心、路由器为边界的网络格局,应重点挖掘中心交换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全控制。
例如:
在海关系统中普遍使用的DECMultiSwitch900的入侵检测功能,其实就是一种基于MAC地址的访问控制,也就是上述的基于数据链路层的物理分段。
2.以交换式集线器代替共享式集线器
对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。
这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。
这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包UnicastPacket)还是会被同一台集线器上的其他用户所侦听。
一种很危险的情况是:
用户TELNET到一台主机上,由于TELNET程序本身缺乏加密功能,用户所键入的每一个字符(包括用户名、密码等重要信息),都将被明文发送,这就给黑客提供了机会。
因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。
当然,交换式集线器只能控制单播包而无法控制广播包(BroadcastPacket)和多播包(MulticastPacket)。
所幸的是,广播包和多播包内的关键信息,要远远少于单播包。
3.VLAN的划分
为了克服以太网的广播问题,除了上述方法外,还可以运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。
目前的VLAN技术主要有三种:
基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。
基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。
基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。
而基于协议的VLAN,理论上非常理想,但实际应用却尚不成熟。
在集中式网络环境下,我们通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源。
在分布式网络环境下,我们可以按机构或部门的设置来划分VLAN。
各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。
VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接则采用路由实现。
目前,大多数的交换机(包括海关内部普遍采用的DECMultiSwitch900)都支持RIP和OSPF这两种国际标准的路由协议。
如果有特殊需要,必须使用其他路由协议(如CISCO公司的EIGRP或支持DECnet的IS-IS),也可以用外接的多以太网口路由器来代替交换机,实现VLAN之间的路由功能。
当然,这种情况下,路由转发的效率会有所下降。
无论是交换式集线器还是VLAN交换机,都是以交换技术为核心,它们在控制广播、防止黑客上相当有效,但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。
因此,如果局域网内存在这样的入侵监控设备或协议分析设备,就必须选用特殊的带有SPAN(SwitchPortAnalyzer)功能的交换机。
这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上,提供给接在这一端口上的入侵监控设备或协议分析设备。
笔者在厦门海关外部网设计中,就选用了Cisco公司的具备SPAN功能的Catalyst系列交换机,既得到了交换技术的好处,又使原有的Sniffer协议分析仪“英雄有用武之地”。
广域网安全
由于广域网大多采用公网来进行数据传输,信息在广域网上传输时被截取和利用的可能性就比局域网要大得多。
如果没有专用的软件对数据进行控制,只要使用Internet上免费下载的“包检测”工具软件,就可以很容易地对通信数据进行截取和破译。
因此,必须采取手段,使得在广域网上发送和接收信息时能够保证:
①除了发送方和接收方外,其他人是无法知悉的(隐私性);
②传输过程中不被篡改(真实性);
③发送方能确知接收方不是假冒的(非伪装性);
④发送方不能否认自己的发送行为(不可抵赖性)。
为了达到以上安全目的,广域网通常采用以下安全解决办法:
1.加密技术
加密型网络安全技术的基本思想是不依赖于网络中数据通道的安全性来实现网络系统的安全,而是通过对网络数据的加密来保障网络的安全可靠性。
数据加密技术可以分为三类,即对称型加密、不对称型加密和不可逆加密。
其中不可逆加密算法不存在密钥保管和分发问题,适用于分布式网络系统,但是其加密计算量相当可观,所以通常用于数据量有限的情形下使用。
计算机系统中的口令就是利用不可逆加密算法加密的。
近年来,随着计算机系统性能的不断提高,不可逆加密算法的应用逐渐增加,常用的如RSA公司的MD5和美国国家标准局的SHS。
在海关系统中广泛使用的Cisco路由器,有两种口令加密方式:
EnableSecret和EnablePassword。
其中,EnableSecret就采用了MD5不可逆加密算法,因而目前尚未发现破解方法(除非使用字典攻击法)。
而EnablePassword则采用了非常脆弱的加密算法(即简单地将口令与一个常数进行XOR与或运算),目前至少已有两种破解软件。
因此,最好不用EnablePassword。
2.VPN技术
VPN(虚拟专网)技术的核心是采用隧道技术,将企业专网的数据加密封装后,透过虚拟的公网隧道进行传输,从而防止敏感数据的被窃。
VPN可以在Internet、服务提供商的IP、帧中继或ATM网上建立。
企业通过公网建立VPN,就如同通过自己的专用网建立内部网一样,享有较高常见故障及解决别让局域网成为密码葬身之地
一、了解自己的“葬身之地”
1.监听设置邮箱设置先切换到“邮件”这一项(如图),在“邮件发送与接收参数”里填好发送邮箱和密码等信息后,点击“测试”按钮,如果你填写的信息没有错误的话,会出现一个对话框提示你“测试邮件发送成功”,看到这个对话框就说明你可以接收到密码。
然后在“自动发送邮件设置”处选择“每获取5个密码发送一次”,你也可以选择其它方式,不过我觉得这个比较合理,设置好后点击“应用”按钮。
小提示:
1).发送邮箱和接收邮箱可以填同一个。
2).最好选择不需要SMTP密码验证的邮箱,否则发送邮件时可能被杀毒软件拦截。
3).最新升级的瑞星可以查收密码监听器这个软件,所以请读者朋友尽快升级。
密码设置:
为了防止其他人打开软件进行查看,你可以设一个查看密码,具体做法是:
切换到“密码保护”这一项,然后填写“新密码”和“确认密码”,填好后同样点击“应用”,这样下次打开软件时就需要输入密码才能进入软件了。
其它设置:
先切换到“其它”选项,在“显示/隐藏界面热键设置”处选择一个热键,如“Alt+F9”(注意:
最好不要使用默认的热键),然后在“启动参数设置”处勾选“启动时隐藏界面”,设置好了别忘了再点一下“应用”。
OK,这样就完成所有设置了,接下来就可以开始监听了,点击底下的“隐藏”按钮(注意:
安装者可以通过点击“中止”来结束软件的运行),这时会弹出一个对话框提示你可以通过热键将软件唤出,点“确定”后软件就“销声匿迹”了,接下来你就可以打开接收邮箱等待了!
2.查看战果经过短短的几分钟,我就已经看到了许多的用户名和密码了,当然,这些用户名和密码也已经发到我的接收邮箱中了,连我们学校每个人的上网密码都不放过,厉害吧!
如果这些密码落到坏人手里,那后果真是不堪设想。
二、如何防范看到了吧!
只需要短短几步操作,你的密码就到他人手里了,很危险吧!
对于这类软件,防范起来是比较麻烦的,不是说它难查杀,而是因为很难查出是哪台机器上装了“密码监听器”,因为在安装时其它机器不会出现任何的反应。
不过如果查到了它装在哪台机器上,那查杀起来也是比较容易的,具体过程为:
在“开始→运行”中输入“regedit”并回车,依次展开:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices,这时你可以看到“pswmonitor”这个键值,按照这个键值的路径找到“密码监听器”的存放位置,由于此时“密码监听器”正在运行,所以我们是无法删除它的,这时你可以这样操作:
删除上面找到的“pswmonitor”键值,然后重启机器,这时“密码监听器”就不会自动运行了,然后找到它存放的位置,把和它相关的所有文件删掉即可。
另外,前面我提到过,瑞星杀毒软件可以将它查杀,所以请网管朋友尽快进行升级,对于如何查找安装有“密码监听器”的机器,这里我也提供一种方法,那就是通过远程注册表查找“pswmonitor”这个键值,如果找到该键值,那这台机器肯定被安装了“密码监听器”了,至于如何进行远程注册表的访问,这里我就不详细介绍了,请查看相关资料吧!
常见故障及解决
局域网监控大师--LanSee
“局域网查看工具”LanSee是一款免费的绿色软件,无需安装即可运行。
它可以搜索出局域网内的工作组,搜索局域网内的所有活动的计算机,显示这些计算机的IP地址、工作组、MAC地址以及用户,搜索所有计算机的所有共享资源,搜索出共享资源列表内的共享文件,打开某个指定的计算机/共享目录/共享文件,搜索各种类型的服务器(FTP/WWW/Telnet),给指定的计算机发送消息。
LanSee的下载地址为:
[url]http:
//sd-
一、搜索计算机双击“局域网查看工具1.34”,进入软件主界面。
在列表中显示本机的IP地址、计算机名、用户名、MAC地址和所在工作组。
首先,点击“搜索工作组”按钮,则软件会自动将局域网内的工作组都搜索出来。
然后点击“搜索计算机”则软件会自动将局域网内的活动计算机都搜索出来,并在“计算机列表”框中显示每个计算机的计算机名、IP地址、MAC地址、工作组、当前用户。
如果想中途停止搜索,可以点击“停止搜索”按钮。
通过列表我们就可以找出违章用户,给其发送消息提出警示,予以纠正。
二、搜索共享资源执行这个操作之前,先搜索出计算机,然后点击“搜索共享资源”按钮。
搜索出共享资源后,显示在“共享资源列表”框中。
接着点击“搜索共享文件”按钮,将自动搜索出共享资源列表内的共享文件,并显示在“共享文件列表”框中。
双击其中的文件名,即可打开该文件,查看其内容,检查有无泄密情况。
三、其他应用通过点击“搜索服务器”按钮,将搜索出局域网中的指定服务类型的服务器,并将搜索到的服务器列表显示出来。
点击“发送消息”按钮,可以向指定计算机发送消息。
点击“设置”菜单打开“设置”对话框,可进行“指定网段搜索计算机设置”、“搜索服务器设置”、“搜索计算机设置”、“搜索文件设置”,从而实现个性化搜索。
常见故障及解决
分析解决局域网内盗IP的安全问题
一、IP地址盗用方法分析
IP地址的盗用方法多种多样,其常用方法主要有以下几种:
1、静态修改IP地址
对于任何一个TCP/IP实现来说,IP地址都是其用户配置的必选项。
如果用户在配置TCP/IP或修改TCP/IP配置时,使用的不是授权机构分配的IP地址,就形成了IP地址盗用。
由于IP地址是一个逻辑地址,是一个需要用户设置的值,因此无法限制用户对于IP地址的静态修改,除非使用DHCP服务器分配IP地址,但又会带来其它管理问题。
2、成对修改IP-MAC地址
对于静态修改IP地址的问题,现在很多单位都采用静态路由技术加以解决。
针对静态路由技术,IP盗用技术又有了新的发展,即成对修改IP-MAC地址。
MAC地址是设备的硬件地址,对于我们常用的以太网来说,即俗称的计算机网卡地址。
每一个网卡的MAC地址在所有以太网设备中必须是唯一的,它由IEEE分配,是固化在网卡上的,一般不能随意改动。
但是,现在的一些兼容网卡,其MAC地址可以使用网卡配置程序进行修改。
如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址,那静态路由技术就无能为力了。
另外,对于那些MAC地址不能直接修改的网卡来说,用户还可以采用软件的办法来修改MAC地址,即通过修改底层网络软件达到欺骗上层网络软件的目的。
3、动态修改IP地址
对于一些黑客高手来说,直接编写程序在网络上收发数据包,绕过上层网络软件,动态修改自己的IP地址(或IP-MAC地址对),达到IP欺骗并不是一件很困难的事。
二、防范技术研究
针对IP盗用问题,网络专家采用了各种防范技术,现在比较通常的防范技术主要是根据TCP/IP的层次结构,在不同的层次采用不同的方法来防止IP地址的盗用。
1、交换机控制
解决IP地址的最彻底的方法是使用交换机进行控制,即在TCP/IP第二层进行控制:
使用交换机提供的端口的单地址工作模式,即交换机的每一个端口只允许一台主机通过该端口访问网络,任何其它地址的主机的访问被拒绝。
但此方案的最大缺点在于它需要网络上全部采用交换机提供用户接入,这在交换机相对昂贵的今天不是一个能够普遍采用的解决方案。
2、路由器隔离
采用路由器隔离的办法其主要依据是MAC地址作为以太网卡地址全球唯一不能改变。
其实现方法为通过SNMP协议定期扫描校园网各路由器的ARP表,获得当前IP和MAC的对照关系,和事先合法的IP和MAC地址比较,如不一致,则为非法访问。
对于非法访问,有几种办法可以制止,如:
a.使用正确的IP与MAC地址映射覆盖非法的IP-MAC表项;
b.向非法访问的主机发送ICMP不可达的欺骗包,干扰其数据发送;
c.修改路由器的存取控制列表,禁止非法访问。
路由器隔离的另外一种实现方法是使用静态ARP表,即路由器中IP与MAC地址的映射不通过ARP来获得,而采用静态设置。
这样,当非法访问的IP地址和MAC地址不一致时,路由器根据正确的静态设置转发的帧就不会到达非法主机。
路由器隔离技术能够较好地解决IP地址的盗用问题,但是如果非法用户针对其理论依据进行破坏,成对修改IP-MAC地址,对这样的IP地址盗用它就无能为力了。
3、防火墙与代理服务器
使用防火墙与代理服务器相结合,也能较好地解决IP地址盗用问题:
防火墙用来隔离内部网络和外部网络,用户访问外部网络通过代理服务器进行。
使用这样的办法是将IP防盗放到应用层来解决,变IP管理为用户身份和口令的管理,因为用户对于网络的使用归根结底是要使用网络应用。
这样实现的好处是,盗用IP地址只能在子网内使用,失去盗用的意义;合法用户可以选择任意一台IP主机使用,通过代理服务器访问外部网络资源,而无权用户即使盗用IP,也没有身份和密码,不能使用外部网络。
使用防火墙和代理服务器的缺点也是明显的,由于使用代理服务器访问外部网络对用户不是透明的,增加了用户操作的麻烦;另外,对于大数量的用户群(如高校的学生)来说,用户管理也是一个问题。
常见故障及解决
局域网应用专题FAQ专区
1、问:
我访问局域网中的计算机时,为什么常常被提示要输入用户名和密码?
答:
这主要是为了安全方面的考虑。
而且当你重新启动计算机时又要重新输入用户名和密码,这一点确实让人会觉得很麻烦。
你只要在需要进行文件共享的计算机上建立一个相同的用户名,并且使用相同的密码,然后局域网中的计算机都利用这个用户名和密码登录,这样在网上邻居中访问对方计算机时就不需要输入用户名和密码了。
2、问:
上网浏览前在局域网中应如何对IE进行设置?
答:
在局域网中使用代理服务器上网浏览时,应对浏览器进行必要的设置。
以IE为例,在浏览器中代理服务器的设置方法为:
用鼠标右击桌面上的IE图标,在弹出的右键菜单中选择“属性”命令。
在打开的“Internet属性”对话框中选择“连接”项,然后点击“局域网设置”,在“局域网(LAN)设置”对话框中选中“使用代理服务器”,并输入代理服务器的地址以及端口。
默认对于HTTP、FTP浏览器都是使用相同的代理服务器设置,如果对这些服务有不同的代理,你就需要进行其他的设置。
方法为:
点击“高级”按钮,取消“对所有协议均使用相同的代理服务器”,并分别在不同的服务中输入各自的地址和端口,保存以上设置后,IE就可以使用代理服务器上网了。
3、问:
在由三台电脑组成的局域网中,我在其中一台电脑上用过Windows优化大师后,为什么这台电脑就不能登录网络,并且还提示找不到拨号适配器?
答:
根据你说的情况,是没有安装“拨号网络”。
解决方法是:
在“控制面板”的“添加/删除程序”中,选择“Windows安装程序”,在“组件”的“通讯”中选择“拨号网络”,然后将Windows安装盘放入光驱进行安装,重新启动计算机后就可使用拨号网络了。
4、问:
如何在局域网中设置QQ、ICQ等即时通讯软件?
答:
在QQ的主窗口中点击“QQ2000”的按钮,在其主菜单中选择“系统参数”,在参数窗口中选择“网络设置”选项卡。
首先在“上网类型”中选择“局域网接入Internet”,再选中“使用Socks5代理服务器”,然后输入服务器的地址以及端口(图2),如果代理服务器中设定了用户密码,还需要输入用户名和密码。
输入完毕后可以点击“测试”按钮来检测其代理是否正常。
最后单击“确定”即可在代理服务器中使用QQ了。
类似地,在ICQ中选择“连接”中的“防火墙”,可以定义多个代理服务器,如Socks4、Socks5、HTTPS等。
你首先要确定并选择所使用的代理服务器类型,然后在“代理服务器”部分输入主机的地址、端口,如果代理服务器设置了用户密码,还必须输入用户名和密码。
对于代理服务器的类型、地址、端口等,如果你不太清楚,可以询问网络管理员。
5、问:
我想用NetMeeting进行局域网中的通话,应该如何设置?
答:
如果你首次打开NetMeeting,软件会自动启动配置向导。
在配置向导窗口点击“下一步”,然后输入你的基本信息(如姓名、E-mail等)。
继续单击“下一步”,进入服务器配置窗口,NetMeeting允许启动时登录到目标服务器,这个功能是针对于普通上网用户的,局域网用户并不需要该功能,因此你必须取消该选项。
继续单击“下一步”,选择网络速度,必须选择“局域网”,然后提示是否建立快捷方式,你可以根据需要进行选择。
接下来进行音频调节测试后就完成了局域网中对NetMeeting的设置。
6、问:
我知道在局域网内文件是可以共享的,但我想问的是,打印机和扫描仪应该如何共享?
答:
先来说说打印机的共享方法。
你可以先在局域网内找一台电脑,并把打印机连接到这台电脑上,然后按照说明书为打印机安装好驱动程序。
在Windows系统任务栏上,点击“开始→设置→控制面板”,在“控制面板”窗口中双击“打印机”图标,再用鼠标右键单击打印机图标,在弹出的右键菜单上选择“共享”,然后在打开的“打印机属性”窗口上选择“共享为”,并像共享文件那样给被共享的打印机也起一个共享名,然后点击“确定”即可。
关于扫描仪的共享设置,你首先要看一下你的扫描仪是否具有网络共享功能,是否配备了用于共享的驱动程序,也就是说只有部分扫描仪可以进行网络共享。
另外不同型号扫描仪的共享设置差异很大,最好查阅一下扫描仪的说明书。
7、我用分机线上网,上网速度最大才48000bps,请问是何原因?
还有,将Modem放在主机箱侧面,开机后(未打开Modem电源),家里的电话就处于忙音状态,如何解决?
答:
第一个问题跟你的分机电话线或线接头质量有很大关系,另外,如果你的Modem的速度平常都能接近48000bps,你也不要太在意,应该重点先看下它的实际下载速度是否令你满意。
第二个问题,肯定和你主机的电源等配件的电磁辐射强和屏蔽效果差有关,你如果不想对你的主机进行大换血的话,最好用物体在主机和Modem之间进行屏蔽,或将Modem离你的主机远点,这是最好的办法。
8、我新购的网卡在电脑上无法安装,而在其他电脑上却使用正常,这是怎么回事?
答:
如果在电脑中安装好网卡后,系统没有提示找到新硬件,你可运行“添加新硬件向导”来让系统搜索新硬件。
方法是单击“开始”,指向“设置”,单击“控制面板”,然后再双击“添加新硬件”。
按照屏幕提示操作。
你可选“让Windows搜索新硬件吗?
”,单击“是(推荐)”,然后再单击“下一步”,让系统找到网卡再安装其驱动。
而如果出现以下任何现象,网卡或者网卡所在的插槽损坏:
1、“添加新硬件向导”检测不到网卡;
2、“添加新硬件向导”能够检测到网卡,但无法正常工作。
为了确定到底是网卡还是插槽的问题,可以检查网卡是否牢靠插入插槽之中。
如果网卡已牢靠插入插槽之中,请改插到其他插槽之中试试。
如果问题仍未解决,则可能是网卡损坏或与你的电脑不兼容,可更换之。
常见故障及解决
常见单机网络故障全面解析
硬件故障
硬件故障主要有网卡自身故障、网卡未正确安装、网卡故障、集线器故障等。
首先检查插上计算机I/O插槽上的网卡侧面的指示灯是否正常,网卡一般有两个指示灯“连接指示灯”和“信号传输指示灯”,正常情况下“连接指示灯”应一直亮着,而“信号传输指示灯”在信号传输时应不停闪烁。
如“连接指示灯”不亮,应考虑连接故障,即网卡自身是否正常,安装是否正确,网线、集线器是否有故障。
我们先大致从网卡外表观察一下:
1.RJ45接头的问题
RJ45接头容易出故障,例如,双绞线的头没顶到RJ45接头顶端,绞线未按照标准脚位压入接头,甚至接头规格不符或者是内部的绞线断了。
镀金层厚度对接头品质的影响也是相当可观的,例如镀得太薄,那么网线经过三五次插拔之后,也许就把它磨掉了,接着被氧化,当然也容易发生断线。
2.接线故障或接触不良
一般可观察下列几个地方:
双绞线颜色和RJ-45接头的脚位是否相符;线头是否顶到RJ-45接头顶端,若没有,该线的接触会较差.需再重新压按一次;观察RJ-45侧面。
金属片是否已刺入绞线之中?
若没有,极可能造成线路不通;观察双绞线外皮去掉的地方,是否使用剥线工具时切断了绞线(绞线内铜导线已断,但皮未断)。
如果还不能发现问题,那么我们可用替换法排除网线和集线器故障,即用通信正常的电脑的网线来连接故障机,如能正常通信,显然是网线或集线器的故障,再转换集线器端口来区分到底是网线还是集线器的故障,许多时候集线器的指示灯也能提示是否是集线器故障,正常对应端口的灯应亮着。
软件故障
如果网卡的信号传输指示灯不亮,这一般是由网络的软件故障引起的。
1.检查网卡设置
普通网卡的驱动程序磁盘大多附有测试和设置
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机网络
![提示](https://static.bdocx.com/images/bang_tan.gif)